信息安全周报-2020年第21周
发布时间 2020-05-26> 本周安全态势综述
2020年05月18日至05月24日共收录安全漏洞60个,值得关注的是Cisco Unified Contact Center Express反序列化代码执行漏洞; Apache Tomcat session反序列化代码执行漏洞;Google Chrome reader mode内存错误引用代码执行漏洞;Emerson Electric OpenEnterpris远程代码执行漏洞;Centreon main.get.php OS命令注入漏洞。
本周值得关注的网络安全事件是iPhone邮件应用Edison Mail存在漏洞,泄露用户信息;澳大利亚公司BlueScope遭到攻击导致部分业务中断;Daimler 580多个Git存储库暴露,奔驰组件OLU源代码泄露;Adobe发布紧急带外更新,修复远程执行代码漏洞;黑客盗取Wishbone中4000万条用户信息,并在暗网标价出售。
根据以上综述,本周安全威胁为中。
>重要安全漏洞列表
1. Cisco Unified Contact Center Express反序列化代码执行漏洞
Cisco Unified Contact Center Express Java远程管理界面存在反序列化漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以root权限执行任意代码。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-rce-GMSC6RKN
2. Apache Tomcat session反序列化代码执行漏洞
Apache Tomcat存在安全漏洞,当使用tomcat时,如果使用了tomcat提供的session持久化功能,如果存在文件上传功能,恶意请求者通过一个流程,将能发起一个恶意请求造成服务端远程命令执行。
https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40%3Cannounce.tomcat.apache.org%3E
3. Google Chrome reader mode内存错误引用代码执行漏洞
Google Chrome reader mode存在释放后使用漏洞,允许远程攻击者可以利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或者以应用程序上下文执行任意代码。
https://chromereleases.googleblog.com/2020/05/stable-channel-update-for-desktop_19.html
4. Emerson Electric OpenEnterpris远程代码执行漏洞
Emerson Electric OpenEnterprise某通信服务存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可执行任意代码。
https://www.us-cert.gov/ics/advisories/icsa-20-140-02
5. Centreon main.get.php OS命令注入漏洞
Centreon main.get.php处理RRDdatabase_status_path参数存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可注入任意OS命令。
https://github.com/centreon/centreon/pull/8467
> 重要安全事件综述
1、iPhone邮件应用Edison Mail存在漏洞,泄露用户信息
原文链接:
https://news.softpedia.com/news/iphone-email-app-bug-caused-users-messages-to-show-up-on-other-phones-530003.shtml
2、澳大利亚公司BlueScope遭到攻击导致部分业务中断
原文链接:
https://www.zdnet.com/article/bluescope-reports-cyber-incident-affecting-australian-operations/
3、Daimler 580多个Git存储库暴露,奔驰组件OLU源代码泄露
原文链接:
https://www.zdnet.com/article/mercedes-benz-onboard-logic-unit-olu-source-code-leaks-online/
4、Adobe发布紧急带外更新,修复远程执行代码漏洞
原文链接:
https://www.bleepingcomputer.com/news/security/adobe-releases-critical-out-of-band-security-update/
5、黑客盗取Wishbone中4000万条用户信息,并在暗网标价出售
原文链接:
https://www.zdnet.com/article/hacker-selling-40-million-user-records-from-popular-wishbone-app/
京公网安备11010802024551号